วันพุธที่ 18 พฤศจิกายน พ.ศ. 2563

เครื่องมือช่วยตรวจสอบการใช้งานด้านความมั่นคงอย่างไม่ปลอดภัยของแอนดรอยด์แอป

ภาพจาก Columbia Engineering

 เครื่องมือที่ชื่อ CRYLOGGER ที่ถูกพัฒนาโดยนักวิทยาศาสตร์คอมพิวเตอร์จากคณะวิศวกรรมมหาวิทยาลัยโคลอมเบียสามารถวิเคราะห์การใช้การเข้ารหัสลับแบบผิด ๆ ในแอนดรอยด์แอปพลิเคชันพันกว่าตัว โดยไม่ต้องเข้าไปดูซอร์ซโค้ดของโปรแกรม ซึ่ง CRYLOGGER พบว่าแอปเหล่านี้ใช้ไลบรารีที่ไม่ตรงกับข้อกำหนดด้านมาตรฐานความมั่นคง หลายตัวใช้ขั้นตอนวิธีที่มีข้อบกพร่อง และหลายตัวใช้วิธีการเข้ารหัสที่ไม่ปลอดภัยในการปกป้องข้อมูลของผู้ใช้ นักวิจัยบอกว่าสิ่งที่พบนี้ไม่จำเป็นว่าจะต้องมีการจู่โจมเกิดขึ้น แต่น่าจะพิจารณาว่าเป็นคำเตือนมากกว่า นักวิจัยได้ติดต่อผู้พัฒนาแอปกว่า 300 ราย เพื่อยืนยันเรื่องนี้ แต่มีเพียง 10 รายเท่านั้นที่ตอบกลับมาด้วยข้อมูลที่เป็นประโยชน์ นักวิจัยเชื่อว่าวิธีที่ CRYPTOLGGGER ใช้คือการเก็บข้อมูลจากการรันโปรแกรมเพื่อไปวิเคราะห์ภายหลัง โดยไม่ต้องไปยุ่งกับซอร์ซโค้ดของโปรแกรม จะสามารถนำไปประยุกต์ใช้กับโดนเมนด้านความมั่นคงอื่น ๆ ได้อีกด้วย

อ่านข่าวเต็มได้ที่:  Columbia Engineering

ไม่มีความคิดเห็น:

แสดงความคิดเห็น